SourceFormatX 2.56 的保护方式分析汇总-软件逆向-看雪-安全社区|安全招聘|kanxue.com

SourceFormatX 2.56 的保护方式分析汇总

发表于: 2005-12-31 20:47 16780

SourceFormatX 2.56 的保护方式分析汇总

RegKiller

2005-12-31 20:47

16780

登录后可查看完整内容

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

收藏・3

免费・7

支持

最新回复 (27) 1 2 ▶
TarZan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 135 粉丝 0 关注私信	TarZan 2 楼唉，为什么找不到我要的东东呢？？？ sf3的破解你在哪里》》》》》》》》》》 2005-12-31 21:47 0
playx 雪币： 146 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 25 回帖 445 粉丝 0 关注私信	playx 1 3 楼不错，很详细，顶起来！ 2006-1-1 00:24 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 4 楼还有很长的路呢,加油吧! 2006-1-1 00:58 0
kyc 雪币： 389 活跃值： (912) 能力值： ( LV9，RANK：770 ) 在线值：发帖 43 回帖 550 粉丝 2 关注私信	kyc 19 5 楼辛苦,希望继续. 2006-1-1 11:12 0
cgdxxx 雪币： 212 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	cgdxxx 6 楼强人！！！我曾经花了一个星期都搞不定这个软件 2006-1-1 14:06 0
ziding 雪币： 214 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 1 关注私信	ziding 7 楼偶当时注册表的删除我也搞掉了,但是后来实在是担心还有其他的暗桩,就木有继续了. 2006-1-1 15:42 0
herx 雪币： 122 活跃值： (98) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	herx 2 8 楼学习。照着做了一下。 2006-1-1 16:57 0
wenglingok 雪币： 671 活跃值： (738) 能力值： ( LV9，RANK：1060 ) 在线值：发帖 52 回帖 680 粉丝 1 关注私信	wenglingok 26 9 楼这个写的太好了这个工具也下来看看。 2006-1-1 18:59 0
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 10 楼我也分析到这里然后重作了一次系统因为用得是windows2000 本想一点一点分析出他的破坏代码但是实在是没有经历建议分析他得兄弟们作好思想准备还有可以用dede分析一下导出map来辅助分析 2006-1-1 21:36 0
world521 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	world521 11 楼既然这么厉害的软件，会破坏系统那可以在虚拟机中调试坏了也没有什么大事 2006-1-2 09:27 0
faster 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	faster 12 楼虚拟机一般用什么啊？ 2006-1-2 17:08 0
jmzz 雪币： 280 活跃值： (776) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 118 粉丝 1 关注私信	jmzz 13 楼 VMware 2006-1-2 21:14 0
RegKiller 雪币： 191 活跃值： (351) 能力值： ( LV9，RANK：450 ) 在线值：发帖 132 回帖 762 粉丝 4 关注私信	RegKiller 10 14 楼这软件实在够可以，看了上面说的一大排乱七八糟的数字，我刚才用 PEiD 的 Krypto ANALyzer v2.82 插件察看了一下。 TreeView的项目数: 32 ------------------------- \|-Blowfish (check2) :: 0017F74C :: 0057F74C \|---Above is a reference \|-CAST :: 0017DE9C :: 0057DE9C \|---Referenced at 004FB68E \|---Referenced at 004FB6C9 \|---Referenced at 004FB704 \|---Referenced at 004FB73D \|---Referenced at 004FB77A \|---Referenced at 004FB7B5 \|---Referenced at 004FB7EF \|---Referenced at 004FB829 \|---Referenced at 004FB8F9 \|---Referenced at 004FB934 \|---Referenced at 004FB96F \|---Referenced at 004FB9AA \|---Referenced at 004FB9E5 \|---Referenced at 004FBA20 \|---Referenced at 004FBA5B \|---Referenced at 004FBA94 \|-CRC32 :: 00179BC0 :: 00579BC0 \|---Referenced at 00459F7C \|---Referenced at 0045A01B \|-MD5 :: 00108F0D :: 00508F0D \|---Above is a reference \|-RC5 / RC6 :: 00108676 :: 00508676 \|---Above is a reference \|-RIPEMD :: 0005ACFA :: 0045ACFA \|---Above is a reference \|-SHA :: 0005A717 :: 0045A717 \|---Above is a reference \|-TIGER :: 0017AFBC :: 0057AFBC \|---Above is a reference 晕死，不是使用了这么多加密算法吧？望高手赐教。 2006-1-3 02:55 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 15 楼其实这个软件很容易，5分钟内存补丁搞定，绝非吹牛。关键看你的破解手法 2006-1-3 11:50 0
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 16 楼软件自身也有bug可能是作者故意的用bug可以保存格式化后的代码的 2006-1-3 12:00 0
starluck 雪币： 212 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	starluck 1 17 楼楼上兄弟能不能说明白点，没弄明白，谢谢 2006-1-3 12:13 0
RegKiller 雪币： 191 活跃值： (351) 能力值： ( LV9，RANK：450 ) 在线值：发帖 132 回帖 762 粉丝 4 关注私信	RegKiller 10 18 楼贴篇教程上来吧。俺也学习一下。 2006-1-3 16:36 0
zhaoocn 雪币： 50 活跃值： (145) 能力值： ( LV12，RANK：290 ) 在线值：发帖 9 回帖 348 粉丝 0 关注私信	zhaoocn 7 19 楼各位大侠的评论真有用 2006-1-4 12:41 0
wwiinngd 雪币： 210 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 27 粉丝 1 关注私信	wwiinngd 20 楼哈哈，和我一样，把把有的文件关联删了，图标变为求知，用光盘修复也不行，最后，为有重装，55555，要是当时装了VM就好了。 2006-1-5 17:50 0
backer 雪币： 1637 活跃值： (1512) 能力值： (RANK：50 ) 在线值：发帖 26 回帖 326 粉丝 134 关注私信	backer 1 21 楼【软件名称】： SourceFormatX 2.56 【使用工具】： Fi,Ollydbg,ImportREC 【破解平台】： Win2K Server 【软件简介】： SourceFormatX 是一个强大的源代码自动格式化,缩进,排版,美化工具。它可以格式化 C, C++、Java、C#、Object Pascal、PHP、ASP、JSP、VB、 VB.NET、VBScript、JavaScript 和 HTML Components源代码。它还可以将源代码输出为语法高亮显示的 HTML 或 RTF 文件。【软件大小】： 731 KB 【编写语言】： Borland Delphi 5 【加壳方式】： PECompact 1.68 - 1.84 【保护方式】：文件验证(License.dat)。破解行为会激活恶意代码，主要是删注册表的HKEY_CLASSES_ROOT整个分支。删注册表是用RegDeleteValueA 。作者把关键代码做成一个DLL，将DLL文件的16进制码加密后生成一个注册文件，密匙产生函数的参数是主程序加壳后的HASH码和机器信息。已注册用户验证注册码时，先验证有没有文件，没有文件则自然受限制的功能无法使用。如果有注册文件，解密后即生成一个小临时文件。如果主程序被脱壳或者被修改（爆破），自然Hash值密码不符，解密出来的肯定都是垃圾码，没有一点用处。只有没有被修改的主程序才能正确地解码，而且当然只有解密正确的文件才是一个真正的DLL文件，才能被GetProcAddress函数找到欲调用的关键函数地址。这样只有注册用户能正常使用了。【破解建议】：安装 VMware ，否则，作者很生气，后果很严重 :) 【软件下载】： 76eK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6Z5i4K6u0W2L8$3&6D9K9h3&6W2k6r3!0%4L8W2)9J5k6h3&6W2N6q4)9K6b7e0R3^5i4K6u0r3k6r3!0%4L8W2)9J5c8Y4y4G2N6i4u0U0k6h3k6G2M7X3#2S2N6s2R3J5y4e0k6U0L8W2)9J5k6h3g2^5k6b7`.`. /*********************************脱壳**********************************/ ; 跟踪到00625556处 00625556 C2 0400 retn 4 ; 此处就是OEP,记得脱壳后重建输入表,我用的是ImportREC 00573258 55 push ebp /****************************去掉OD检查*******************************/ ; 调用检查OD的函数 0057330F E8 002EFEFF call SourceFo.00556114 ... ... ; 将这里的机器码 74(jz) 修改为 EB(jmp) 0055614C 74 23 jz short upSource.00556171 ; 调用检查OD的函数 005774EA E8 CDB4FFFF call SourceFo.005729BC ; 将这里的机器码 74(jz) 修改为 EB(jmp) 005729F2 74 42 je short SourceFo.00572A36 ; 将这里的机器码 74(jz) 修改为 EB(jmp) 0055F076 74 42 je short SourceFo.0055F0BA /*************************去掉文件修改检查****************************/ ; 检查执行程序是否被修改 005774F4 E8 97B1FFFF call SourceFo.00572690 ; 将这里的机器码 74(jz) 修改为 EB(jmp) 005723AC 74 55 je short SourceFo.00572403 ; 0044EA65 E8 A69BFFFF call SourceFo.00448610 0044861D 74 17 je short SourceFo.00448636 /***************************去掉DeDe检查******************************/ ; 将这里的机器码 74(jz) 修改为 EB(jmp) 005727F4 74 28 je short SourceFo.0057281E 0055641C 74 28 je short SourceFo.00556446 /*************************去掉Filemon检查*****************************/ ; 将这里的机器码 74(jz) 修改为 EB(jmp) 005560C4 74 20 je short SourceFo.005560E6 /*************************去掉Snacker检查*****************************/ ; 将这里的机器码 74(jz) 修改为 EB(jmp) 005560ED 74 20 je short SourceFo.0055610F /*********************其他各类调试软件的驱动句柄检测******************/ 00573314 E8 632CFEFF call SourceFo.00555F7C ; 关键CALL, 以 eax 传递参数, 005774EF B8 54885700 mov eax,SourceFo.00578854 ; ASCII "License.dat" 005774F4 E8 97B1FFFF call SourceFo.00572690 /************************执行文件尺寸检查*****************************/ 0055F105 \|. 6A 00 push 0 ; /pFileSizeHigh = NULL 0055F107 \|. 8B45 FC mov eax,dword ptr ss:[ebp-4] ; \| 0055F10A \|. 50 push eax ; \|hFile 0055F10B \|. E8 D477EAFF call <jmp.&kernel32.GetFileSize> ; \GetFileSize ; 将这里的机器码 3D A8421200 修改为 3D 00E02200(00902200) 0055F110 \|. 3D A8421200 cmp eax,1242A8 0055F115 \|. 7E 1F jle short SourceFo.0055F136 // ？？？ 0055EF71 75 1C jnz short SourceFo.0055EF8F /**************************修理非法用户*******************************/ 0055F117 \|> /6A 03 /push 3 0055F119 \|. \|B8 B8F45500 \|mov eax,SourceFo.0055F4B8 ; ASCII "048229125055114025094102049210040021027068051099091168132234034161018208011" 0055F11E \|. \|8D55 E8 \|lea edx,dword ptr ss:[ebp-18] 0055F121 \|. \|E8 9625EFFF \|call SourceFo.004516BC 0055F126 \|. \|8B45 E8 \|mov eax,dword ptr ss:[ebp-18] 0055F129 \|. \|E8 124FEAFF \|call SourceFo.00404040 0055F12E \|. \|50 \|push eax ; \|CmdLine 0055F12F \|. \|E8 4079EAFF \|call <jmp.&kernel32.WinExec> ; \WinExec 0055F134 \|.^\EB E1 \jmp short SourceFo.0055F117 ; 循环打开多个窗口 /************************可疑*****************************/ 00412F4D \|. 807D FF 00 cmp byte ptr ss:[ebp-1],0 00412F51 \|. 74 0F je short SourceFo.00412F62 00412F53 \|. E8 5803FFFF call SourceFo.004032B0 0041A524 \|. 8D45 D4 lea eax,dword ptr ss:[ebp-2C] 0041A527 \|. 50 push eax ; /pSystemInfo 0041A528 \|. E8 0FC4FEFF call <jmp.&kernel32.GetSystemInfo> ; \GetSystemInfo 0041A52D \|. 8B55 FC mov edx,dword ptr ss:[ebp-4] 0041A530 \|. 8B4D F8 mov ecx,dword ptr ss:[ebp-8] 0041A533 \|. 49 dec ecx 0041A534 \|. 78 33 js short SourceFo.0041A569 0041A536 \|. 8D45 D4 lea eax,dword ptr ss:[ebp-2C] 0041A539 \|. 66:8378 20 03 cmp word ptr ds:[eax+20],3 0041A53E \|. 74 10 je short SourceFo.0041A550 ; ??? 00412F21 \|. 837B 04 00 cmp dword ptr ds:[ebx+4],0 00412F25 \|. 7D 24 jge short SourceFo.00412F4B ; ??? 00412F4D \|. 807D FF 00 cmp byte ptr ss:[ebp-1],0 00412F51 \|. 74 0F je short SOURCEFO.00412F62 00412F53 \|. E8 5803FFFF call SOURCEFO.004032B0 ; eax = "0123456789abcdeffedcba9876543210" 005096B0 \|. 8D45 A4 lea eax,dword ptr ss:[ebp-5C] 005096B3 \|. E8 3CFFFFFF call SourceFo.005095F4 ; 将这里的机器码 3D 508D0F00 修改为 3D 00902200 00564168 . 3D 508D0F00 cmp eax,0F8D50 0056416D . 0F8E F7000000 jle SourceFo.0056426A 00564173 . 33D2 xor edx,edx ; 将这里的机器码 3D 5F890F00 修改为 3D 00902200 00567DFC . 3D 5F890F00 cmp eax,0F895F 00567E01 . 7E 13 jle short SOURCEFO.00567E16 00567E03 . E8 50DDFEFF call SOURCEFO.00555B58 ; ??? 在打开文件License.dat之后多次调用 00412F53 \|. E8 5803FFFF call SOURCEFO.004032B0 2006-1-5 21:54 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 22 楼恶意代码很恶劣但保护方法值得学习：） 2006-1-6 13:09 0
backer 雪币： 1637 活跃值： (1512) 能力值： (RANK：50 ) 在线值：发帖 26 回帖 326 粉丝 134 关注私信	backer 1 23 楼这种保护方式我看只能自己代码填空, 也没别的方式可以破解了 2006-1-6 20:04 0
TarZan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 135 粉丝 0 关注私信	TarZan 24 楼我觉得对我要找的东东有点不一样不过还是好贴还是要顶 2006-1-7 00:27 0
backer 雪币： 1637 活跃值： (1512) 能力值： (RANK：50 ) 在线值：发帖 26 回帖 326 粉丝 134 关注私信	backer 1 25 楼最初由鸡蛋壳发布其实这个软件很容易，5分钟内存补丁搞定，绝非吹牛。关键看你的破解手法请教大虾, 公布你的破解思路吧... 2006-1-7 21:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

RegKiller

132

发帖

762

回帖

450

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (27) 1 2 ▶
TarZan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 135 粉丝 0 关注私信	TarZan 2 楼唉，为什么找不到我要的东东呢？？？ sf3的破解你在哪里》》》》》》》》》》 2005-12-31 21:47 0
playx 雪币： 146 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 25 回帖 445 粉丝 0 关注私信	playx 1 3 楼不错，很详细，顶起来！ 2006-1-1 00:24 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 4 楼还有很长的路呢,加油吧! 2006-1-1 00:58 0
kyc 雪币： 389 活跃值： (912) 能力值： ( LV9，RANK：770 ) 在线值：发帖 43 回帖 550 粉丝 2 关注私信	kyc 19 5 楼辛苦,希望继续. 2006-1-1 11:12 0
cgdxxx 雪币： 212 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	cgdxxx 6 楼强人！！！我曾经花了一个星期都搞不定这个软件 2006-1-1 14:06 0
ziding 雪币： 214 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 1 关注私信	ziding 7 楼偶当时注册表的删除我也搞掉了,但是后来实在是担心还有其他的暗桩,就木有继续了. 2006-1-1 15:42 0
herx 雪币： 122 活跃值： (98) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	herx 2 8 楼学习。照着做了一下。 2006-1-1 16:57 0
wenglingok 雪币： 671 活跃值： (738) 能力值： ( LV9，RANK：1060 ) 在线值：发帖 52 回帖 680 粉丝 1 关注私信	wenglingok 26 9 楼这个写的太好了这个工具也下来看看。 2006-1-1 18:59 0
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 10 楼我也分析到这里然后重作了一次系统因为用得是windows2000 本想一点一点分析出他的破坏代码但是实在是没有经历建议分析他得兄弟们作好思想准备还有可以用dede分析一下导出map来辅助分析 2006-1-1 21:36 0
world521 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	world521 11 楼既然这么厉害的软件，会破坏系统那可以在虚拟机中调试坏了也没有什么大事 2006-1-2 09:27 0
faster 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	faster 12 楼虚拟机一般用什么啊？ 2006-1-2 17:08 0
jmzz 雪币： 280 活跃值： (776) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 118 粉丝 1 关注私信	jmzz 13 楼 VMware 2006-1-2 21:14 0
RegKiller 雪币： 191 活跃值： (351) 能力值： ( LV9，RANK：450 ) 在线值：发帖 132 回帖 762 粉丝 4 关注私信	RegKiller 10 14 楼这软件实在够可以，看了上面说的一大排乱七八糟的数字，我刚才用 PEiD 的 Krypto ANALyzer v2.82 插件察看了一下。 TreeView的项目数: 32 ------------------------- \|-Blowfish (check2) :: 0017F74C :: 0057F74C \|---Above is a reference \|-CAST :: 0017DE9C :: 0057DE9C \|---Referenced at 004FB68E \|---Referenced at 004FB6C9 \|---Referenced at 004FB704 \|---Referenced at 004FB73D \|---Referenced at 004FB77A \|---Referenced at 004FB7B5 \|---Referenced at 004FB7EF \|---Referenced at 004FB829 \|---Referenced at 004FB8F9 \|---Referenced at 004FB934 \|---Referenced at 004FB96F \|---Referenced at 004FB9AA \|---Referenced at 004FB9E5 \|---Referenced at 004FBA20 \|---Referenced at 004FBA5B \|---Referenced at 004FBA94 \|-CRC32 :: 00179BC0 :: 00579BC0 \|---Referenced at 00459F7C \|---Referenced at 0045A01B \|-MD5 :: 00108F0D :: 00508F0D \|---Above is a reference \|-RC5 / RC6 :: 00108676 :: 00508676 \|---Above is a reference \|-RIPEMD :: 0005ACFA :: 0045ACFA \|---Above is a reference \|-SHA :: 0005A717 :: 0045A717 \|---Above is a reference \|-TIGER :: 0017AFBC :: 0057AFBC \|---Above is a reference 晕死，不是使用了这么多加密算法吧？望高手赐教。 2006-1-3 02:55 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 15 楼其实这个软件很容易，5分钟内存补丁搞定，绝非吹牛。关键看你的破解手法 2006-1-3 11:50 0
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 16 楼软件自身也有bug可能是作者故意的用bug可以保存格式化后的代码的 2006-1-3 12:00 0
starluck 雪币： 212 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	starluck 1 17 楼楼上兄弟能不能说明白点，没弄明白，谢谢 2006-1-3 12:13 0
RegKiller 雪币： 191 活跃值： (351) 能力值： ( LV9，RANK：450 ) 在线值：发帖 132 回帖 762 粉丝 4 关注私信	RegKiller 10 18 楼贴篇教程上来吧。俺也学习一下。 2006-1-3 16:36 0
zhaoocn 雪币： 50 活跃值： (145) 能力值： ( LV12，RANK：290 ) 在线值：发帖 9 回帖 348 粉丝 0 关注私信	zhaoocn 7 19 楼各位大侠的评论真有用 2006-1-4 12:41 0
wwiinngd 雪币： 210 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 27 粉丝 1 关注私信	wwiinngd 20 楼哈哈，和我一样，把把有的文件关联删了，图标变为求知，用光盘修复也不行，最后，为有重装，55555，要是当时装了VM就好了。 2006-1-5 17:50 0
backer 雪币： 1637 活跃值： (1512) 能力值： (RANK：50 ) 在线值：发帖 26 回帖 326 粉丝 134 关注私信	backer 1 21 楼【软件名称】： SourceFormatX 2.56 【使用工具】： Fi,Ollydbg,ImportREC 【破解平台】： Win2K Server 【软件简介】： SourceFormatX 是一个强大的源代码自动格式化,缩进,排版,美化工具。它可以格式化 C, C++、Java、C#、Object Pascal、PHP、ASP、JSP、VB、 VB.NET、VBScript、JavaScript 和 HTML Components源代码。它还可以将源代码输出为语法高亮显示的 HTML 或 RTF 文件。【软件大小】： 731 KB 【编写语言】： Borland Delphi 5 【加壳方式】： PECompact 1.68 - 1.84 【保护方式】：文件验证(License.dat)。破解行为会激活恶意代码，主要是删注册表的HKEY_CLASSES_ROOT整个分支。删注册表是用RegDeleteValueA 。作者把关键代码做成一个DLL，将DLL文件的16进制码加密后生成一个注册文件，密匙产生函数的参数是主程序加壳后的HASH码和机器信息。已注册用户验证注册码时，先验证有没有文件，没有文件则自然受限制的功能无法使用。如果有注册文件，解密后即生成一个小临时文件。如果主程序被脱壳或者被修改（爆破），自然Hash值密码不符，解密出来的肯定都是垃圾码，没有一点用处。只有没有被修改的主程序才能正确地解码，而且当然只有解密正确的文件才是一个真正的DLL文件，才能被GetProcAddress函数找到欲调用的关键函数地址。这样只有注册用户能正常使用了。【破解建议】：安装 VMware ，否则，作者很生气，后果很严重 :) 【软件下载】： 76eK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6Z5i4K6u0W2L8$3&6D9K9h3&6W2k6r3!0%4L8W2)9J5k6h3&6W2N6q4)9K6b7e0R3^5i4K6u0r3k6r3!0%4L8W2)9J5c8Y4y4G2N6i4u0U0k6h3k6G2M7X3#2S2N6s2R3J5y4e0k6U0L8W2)9J5k6h3g2^5k6b7`.`. /*********************************脱壳**********************************/ ; 跟踪到00625556处 00625556 C2 0400 retn 4 ; 此处就是OEP,记得脱壳后重建输入表,我用的是ImportREC 00573258 55 push ebp /****************************去掉OD检查*******************************/ ; 调用检查OD的函数 0057330F E8 002EFEFF call SourceFo.00556114 ... ... ; 将这里的机器码 74(jz) 修改为 EB(jmp) 0055614C 74 23 jz short upSource.00556171 ; 调用检查OD的函数 005774EA E8 CDB4FFFF call SourceFo.005729BC ; 将这里的机器码 74(jz) 修改为 EB(jmp) 005729F2 74 42 je short SourceFo.00572A36 ; 将这里的机器码 74(jz) 修改为 EB(jmp) 0055F076 74 42 je short SourceFo.0055F0BA /*************************去掉文件修改检查****************************/ ; 检查执行程序是否被修改 005774F4 E8 97B1FFFF call SourceFo.00572690 ; 将这里的机器码 74(jz) 修改为 EB(jmp) 005723AC 74 55 je short SourceFo.00572403 ; 0044EA65 E8 A69BFFFF call SourceFo.00448610 0044861D 74 17 je short SourceFo.00448636 /***************************去掉DeDe检查******************************/ ; 将这里的机器码 74(jz) 修改为 EB(jmp) 005727F4 74 28 je short SourceFo.0057281E 0055641C 74 28 je short SourceFo.00556446 /*************************去掉Filemon检查*****************************/ ; 将这里的机器码 74(jz) 修改为 EB(jmp) 005560C4 74 20 je short SourceFo.005560E6 /*************************去掉Snacker检查*****************************/ ; 将这里的机器码 74(jz) 修改为 EB(jmp) 005560ED 74 20 je short SourceFo.0055610F /*********************其他各类调试软件的驱动句柄检测******************/ 00573314 E8 632CFEFF call SourceFo.00555F7C ; 关键CALL, 以 eax 传递参数, 005774EF B8 54885700 mov eax,SourceFo.00578854 ; ASCII "License.dat" 005774F4 E8 97B1FFFF call SourceFo.00572690 /************************执行文件尺寸检查*****************************/ 0055F105 \|. 6A 00 push 0 ; /pFileSizeHigh = NULL 0055F107 \|. 8B45 FC mov eax,dword ptr ss:[ebp-4] ; \| 0055F10A \|. 50 push eax ; \|hFile 0055F10B \|. E8 D477EAFF call <jmp.&kernel32.GetFileSize> ; \GetFileSize ; 将这里的机器码 3D A8421200 修改为 3D 00E02200(00902200) 0055F110 \|. 3D A8421200 cmp eax,1242A8 0055F115 \|. 7E 1F jle short SourceFo.0055F136 // ？？？ 0055EF71 75 1C jnz short SourceFo.0055EF8F /**************************修理非法用户*******************************/ 0055F117 \|> /6A 03 /push 3 0055F119 \|. \|B8 B8F45500 \|mov eax,SourceFo.0055F4B8 ; ASCII "048229125055114025094102049210040021027068051099091168132234034161018208011" 0055F11E \|. \|8D55 E8 \|lea edx,dword ptr ss:[ebp-18] 0055F121 \|. \|E8 9625EFFF \|call SourceFo.004516BC 0055F126 \|. \|8B45 E8 \|mov eax,dword ptr ss:[ebp-18] 0055F129 \|. \|E8 124FEAFF \|call SourceFo.00404040 0055F12E \|. \|50 \|push eax ; \|CmdLine 0055F12F \|. \|E8 4079EAFF \|call <jmp.&kernel32.WinExec> ; \WinExec 0055F134 \|.^\EB E1 \jmp short SourceFo.0055F117 ; 循环打开多个窗口 /************************可疑*****************************/ 00412F4D \|. 807D FF 00 cmp byte ptr ss:[ebp-1],0 00412F51 \|. 74 0F je short SourceFo.00412F62 00412F53 \|. E8 5803FFFF call SourceFo.004032B0 0041A524 \|. 8D45 D4 lea eax,dword ptr ss:[ebp-2C] 0041A527 \|. 50 push eax ; /pSystemInfo 0041A528 \|. E8 0FC4FEFF call <jmp.&kernel32.GetSystemInfo> ; \GetSystemInfo 0041A52D \|. 8B55 FC mov edx,dword ptr ss:[ebp-4] 0041A530 \|. 8B4D F8 mov ecx,dword ptr ss:[ebp-8] 0041A533 \|. 49 dec ecx 0041A534 \|. 78 33 js short SourceFo.0041A569 0041A536 \|. 8D45 D4 lea eax,dword ptr ss:[ebp-2C] 0041A539 \|. 66:8378 20 03 cmp word ptr ds:[eax+20],3 0041A53E \|. 74 10 je short SourceFo.0041A550 ; ??? 00412F21 \|. 837B 04 00 cmp dword ptr ds:[ebx+4],0 00412F25 \|. 7D 24 jge short SourceFo.00412F4B ; ??? 00412F4D \|. 807D FF 00 cmp byte ptr ss:[ebp-1],0 00412F51 \|. 74 0F je short SOURCEFO.00412F62 00412F53 \|. E8 5803FFFF call SOURCEFO.004032B0 ; eax = "0123456789abcdeffedcba9876543210" 005096B0 \|. 8D45 A4 lea eax,dword ptr ss:[ebp-5C] 005096B3 \|. E8 3CFFFFFF call SourceFo.005095F4 ; 将这里的机器码 3D 508D0F00 修改为 3D 00902200 00564168 . 3D 508D0F00 cmp eax,0F8D50 0056416D . 0F8E F7000000 jle SourceFo.0056426A 00564173 . 33D2 xor edx,edx ; 将这里的机器码 3D 5F890F00 修改为 3D 00902200 00567DFC . 3D 5F890F00 cmp eax,0F895F 00567E01 . 7E 13 jle short SOURCEFO.00567E16 00567E03 . E8 50DDFEFF call SOURCEFO.00555B58 ; ??? 在打开文件License.dat之后多次调用 00412F53 \|. E8 5803FFFF call SOURCEFO.004032B0 2006-1-5 21:54 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 22 楼恶意代码很恶劣但保护方法值得学习：） 2006-1-6 13:09 0
backer 雪币： 1637 活跃值： (1512) 能力值： (RANK：50 ) 在线值：发帖 26 回帖 326 粉丝 134 关注私信	backer 1 23 楼这种保护方式我看只能自己代码填空, 也没别的方式可以破解了 2006-1-6 20:04 0
TarZan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 135 粉丝 0 关注私信	TarZan 24 楼我觉得对我要找的东东有点不一样不过还是好贴还是要顶 2006-1-7 00:27 0
backer 雪币： 1637 活跃值： (1512) 能力值： (RANK：50 ) 在线值：发帖 26 回帖 326 粉丝 134 关注私信	backer 1 25 楼最初由鸡蛋壳发布其实这个软件很容易，5分钟内存补丁搞定，绝非吹牛。关键看你的破解手法请教大虾, 公布你的破解思路吧... 2006-1-7 21:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复